Хакеры использовали ChatGPT как инструмент управления атаками

ИБ-специалисты из Microsoft сообщили о выявлении зловредного программного обеспечения, получившего обозначение SesameOp. Эта вредоносная разработка привлекла внимание специалистов не стандартным поведением, а использованием инфраструктуры OpenAI в качестве канала связи, что дало злоумышленникам возможность долгое время оставаться незамеченными внутри заражённых систем.

Анализ активности показал, что заражение происходило через сложный механизм внедрения кода. Вредоносный модуль попадал в инфраструктуру жертвы с помощью модифицированной конфигурации, указывавшей на загрузку изменённой библиотеки Netapi64.dll.

Этот компонент запускался в связке с исполняемыми файлами Visual Studio, замаскированными под обычные рабочие процессы. Такой подход позволил злоумышленникам свести к минимуму риск обнаружения и обеспечить устойчивое присутствие.

Файл Netapi64.dll оказался обфусцирован с применением инструмента Eazfuscator.NET, что существенно затруднило его анализ. Внутри скрывался модуль под названием OpenAIAgent.Netapi64.

Он взаимодействовал с внешними сервисами через API OpenAI Assistants, откуда и получал инструкции для выполнения на стороне заражённого устройства. Каждая команда проходила процедуру расшифровки и выполнялась в изолированном потоке, после чего результат возвращался обратно тем же маршрутом, сохраняя иллюзию нормального сетевого обмена.

Подробности атаки также указывают на использование особой структуры обмена сообщениями. В полях описания скрывались управляющие параметры, включая SLEEP для временной паузы, Payload — для доставки команд и Result — для передачи результатов оператору атаки. Такая схема помогала хакерам незаметно поддерживать контроль над системой без создания подозрительной активности в сетевом трафике.

По информации Microsoft, следы атаки обнаружились в июле 2025 года. Тогда в ходе расследования крупного инцидента стало ясно, что вредоносный код не просто встраивался в систему, а разворачивал обширную сеть, в т. ч. веб-оболочки и управляющие процессы, плотно интегрированные в корпоративную среду. Название компании, пострадавшей от внедрения, не указывается, но объёмы и глубина проникновения позволяют говорить о высоком уровне подготовки и технической оснащённости группы, стоящей за атакой.